Securite du

Supermarch
Introduction:
e:
Afin de securise de notre supermarche contre toutes
infiltration non voulue, ainsi que des attaques.Nous avons utilise un parefeux car ce dernier
repond a nos besoin, et dans ce parefeux nous avons configurer un ensemble de protocole qui
seront le sujet de nos discussion le long de cette partie.

Protocoles de securites:
1. Interfaces et Zones de pare-feux :
La configuration du pare-feu établit plusieurs interfaces, chacune assignée à différentes
zones . Celles-ci incluent :

Comme on le constate ici, on a configure trois interfaces, chaqu’une avec son niveau de
securite et son adresse reseau avec le masque reseau aussi :
INSIDE1 (Niveau de Sécurité : 100) :
 Cette interface représente le réseau interne du supermarché. Elle connecte les
ordinateurs, serveurs internes, et autres équipements locaux.
 Elle est considérée comme une zone de confiance où le trafic est généralement sûr.
 Elle permet aux utilisateurs internes d’accéder aux ressources locales ou externes
(par exemple, Internet).

OUTSIDE1 (Niveau de Sécurité : 0) :

 Cette interface est connectée à Internet ou à d'autres réseaux non sécurisés.
  Elle agit comme une porte d'entrée pour le traffic venant de l'extérieur.
 Le traffic entrant doit être strictement contrôlé et filtré par des Listes de Contrôle
d’Accès (ACLs).
 Le NAT (Traduction d'Adresse Réseau) est souvent utilisé ici pour masquer les
adresses IP internes aux yeux d’Internet.

DMZ (Niveau de Sécurité : 50) :

 La DMZ est une zone semi-fiable où se trouvent des services accessibles depuis
l’extérieur, comme des serveurs web, des serveurs FTP, ou des bases de données
exposées.
 Elle agit comme une barrière supplémentaire pour protéger le réseau interne
contre des attaques.
 Si un pirate parvient à compromettre un service dans la DMZ, le réseau interne
(INSIDE) reste protégé.

2. Traduction d’adresse reseau (NAT):

Les services NAT permettent aux hôtes du réseau « d’emprunter » une adresse publique pour

communiquer avec des réseaux externes.

 nat (INSIDE1,OUTSIDE1) dynamic interface:

Ceci permet la configuration d'une traduction d'adresse réseau (NAT) dynamique pour les flux
provenant de l'interface INSIDE1 à destination de l'interface OUTSIDE1. Cela permet aux
utilisateurs internes d'accéder aux réseaux externes sans exposer leurs adresses IP.

 nat (OUTSIDE1,DMZ) dynamic interface:

Configuration d'une traduction d'adresse réseau (NAT) dynamique pour les flux provenant de
l'interface OUTSIDE1 à destination de l'interface DMZ.
 3. Listes de Contrôle d’Acces(ACLS):

Les ACL contrôlent le flux de trafic entre les zones en permettant ou en refusant explicitement
des types de trafic spécifiques en fonction de critères précis tels que les adresses IP, les
protocoles, les ports, etc. Elles jouent le role d’un filtreur en quelque sorte :

Dans chaque ligne, on remarque qu’elle suit le modele suivant:

access-list OUTSIDE1-INSIDE1 extended permit tcp host 192.168.1.210 host 192.168.20.243 eq ftp
access-list: indique qu’on ait entraint de configurer les listes d’acces.
OUTSIDE1-INSIDE1: est le nom de la liste d’acces.
Extended: Cela précise que cette ACL est une ACL étendue, permettant un contrôle plus
granulaire sur le trafic. Les ACL étendues permettent de spécifier :
-Protocole (TCP, UDP, ICMP, etc.).
-Adresse IP source.
-Adresse IP de destination.
-Numéros de ports.
Permit/deny: Cela signifie que la règle autorise ou refuse le trafic correspondant aux critères
définis dans cette entrée.
TCP: Protocoles cibles:
Dans une liste de contrôle d'accès, le protocole spécifié détermine quel type de trafic sera filtré
ou autorisé. Voici les principaux protocoles utilisés dans la configuration :
 TCP (Transmission Control Protocol) :
- Protocole orienté connexion utilisé pour des applications nécessitant une livraison
fiable, comme HTTP, HTTPS, FTP, SSH, etc.
- Exemple : `permit tcp` autorise tout trafic basé sur le protocole TCP.
 UDP (User Datagram Protocol) :
- Protocole sans connexion utilisé pour des applications nécessitant une latence faible,
comme DNS, VoIP, ou des flux multimédias.
- Exemple : `permit udp` autorise tout trafic basé sur le protocole UDP.
 ICMP (Internet Control Message Protocol):
- Utilisé pour les diagnostics réseau (ex. ping) et les messages d'erreur.
- Exemple : `permit icmp` autorise les messages ICMP, comme les requêtes Echo.

Host/any:
pour host on specifie les adresses sur les qu’elles les protocoles seront applique. Sinon si c’est
any alors tous les postes sont permit.
Eq +service:
L'option `eq` permet de spécifier un port ou un service précis auquel l'ACL s'applique. Voici une
liste des services couramment utilisés :
  eq domain :
- Correspond au port UDP ou TCP 53, utilisé par le service DNS (Domain Name System).
- Exemple : `permit udp any any eq domain` autorise les requêtes DNS.
 eq ftp :
- Correspond au port TCP 21, utilisé pour le transfert de fichiers avec le protocole FTP.
- Exemple : `permit tcp host 192.168.1.10 host 192.168.20.30 eq ftp` autorise l'accès
FTP entre deux hôtes.
 eq www:
- Correspond au port TCP 80, utilisé pour le trafic HTTP (accès web non sécurisé).
- Exemple : `permit tcp any any eq www` autorise l'accès aux sites web sur HTTP.
 eq 443:
- Correspond au port TCP 443, utilisé pour le trafic HTTPS (accès web sécurisé).
- Exemple : `permit tcp any any eq 443` autorise l'accès aux sites web sécurisés.
 eq 8443 :
- Correspond au port TCP 8443, souvent utilisé pour des services HTTPS alternatifs ou
des APIs.

4. Politiques d’Inspections:
Les politiques d'inspection du trafic sont appliquées pour garantir la conformité et prévenir les activités
malveillantes :

La configuration suivante concerne une Politique d‘Inspection dans un pare-feu. Cette politique est
utilisée pour analyser et contrôler le trafic réseau traversant le pare-feu, afin d'appliquer des règles de
sécurité spécifiques à certains protocoles ou types de trafic.

Définir les Composants:

class-map
Une `class-map` définit une classe de trafic que le pare-feu va inspecter ou surveiller. C'est une
manière de catégoriser ou de regrouper différents types de trafic selon leurs caractéristiques.
 - inspection_default : Le nom de cette classe de trafic.
- match default-inspection-traffic : Cette ligne indique que cette classe regroupe tout le
trafic qui correspond au comportement par défaut d'inspection du pare-feu. Cela inclut des
protocoles courants comme HTTP, FTP, DNS, et autres.
policy-map
Une `policy-map` est utilisée pour définir des actions ou des règles appliquées au trafic des
classes définies par les `class-map`.
 policy-map type inspect dns preset_dns_map: Cette politique s'applique au trafic DNS
(Domain Name System).
- dns: Indique que cette politique est spécifique au protocole DNS.
- preset_dns_map: C'est un ensemble préconfiguré de paramètres qui sera utilisé
pour inspecter le trafic DNS.
- parameters: Les paramètres spécifiques pour l'inspection DNS.
- message-length maximum 512: Cette règle impose une limite sur la taille des
messages DNS à 512 octets, protégeant ainsi contre les attaques DNS par amplification.
Politique Globale:
Une `policy-map` globale applique les actions d'inspection à tous les types de trafic définis.
 global_policy: Le nom de la politique globale appliquée à tout le trafic traversant le
pare-feu.
 class inspection_default: Associe la politique globale à la classe de trafic définie
précédemment (`inspection_default`).
 Les actions d'inspection spécifiques :
-inspect dns preset_dns_map: Applique la politique DNS avec la limitation de
message à 512 octets.
- inspect ftp: Inspecte le trafic FTP pour vérifier qu'il respecte les règles du
protocole.
- inspect http: Inspecte le trafic HTTP pour le web non sécurisé.
- inspect tftp: Inspecte le trafic TFTP utilisé pour des transferts de fichiers
simples.
À quoi sert une Politique d’Inspection ?

La politique d’inspection permet de :

 Analyser en profondeur le trafic réseau : Identifier les protocoles utilisés et détecter
d’éventuelles anomalies ou comportements malveillants.
 Protéger contre les attaques : Certaines politiques comme la limitation de message DNS
aident à prévenir des attaques comme l’amplification DNS.
 Garantir la conformité des protocoles : Vérifier que le trafic respecte les règles des
protocoles (par exemple, FTP ou HTTP).
  Appliquer des règles spécifiques : Comme autoriser, bloquer ou surveiller certains types
de trafic.

5. Authentification et Contrôle d’acces:

AAA:
L'AAA (Authentication, Authorization, Accounting) est un framework de sécurité réseau utilisé
principalement dans les équipements Cisco. Dans notre cas on a implementer:

Authentication (Authentification):

 Vérification de l'identité de l'utilisateur

 Répond à la question : "Qui êtes-vous ?"
 Méthodes : mot de passe, certificats, biométrie
 But : Contrôler qui peut accéder au système

Configuration:

Cette commande configure l'authentification SSH pour utiliser la base de données locale du routeur. On
aussi ajouter le cryptage afin de crypter les donnees sensible tel que le mots de passe.

SSH(Secure Shell):

SSH est un protocole de réseau sécurisé qui permet :

 Une connexion à distance chiffrée

 L'administration de systèmes et d'équipements réseau
 Un tunnel sécurisé pour les communications
 Cryptage des communications

Configuration:

Cette configuration SSH signifie :

 Autorise les connexions SSH uniquement depuis le réseau 192.168.20.0/24

 Limite la durée de session à 5 minutes
 Restreint l'accès à l'interface "INSIDE1"
 6. Protocoles de Routage(OSPF):
OSPF(Open Shortest Path First):

 Protocole de routage dynamique

 Calcule automatiquement les meilleurs chemins réseau
 Échange des informations entre routeurs
 Technologie "Link State" (état de liaison)

Configuration:

router ospf 10

 Lance le processus OSPF

 "10" est l'identifiant du processus

log-adjacency-changes

 Enregistre les changements de voisinage

 Utile pour le diagnostic réseau
 Trace les connexions/déconnexions de routeurs

network + adresses

 Déclare les réseaux participants

203.0.114.0/24

192.168.20.0/24

192.168.6.0/24

203.0.110.0/24

Tous dans l'aire 0 (Colonne vertébrale du réseau OSPF): il s’agit du point central de connexion
entre différentes zones . il permet:

-Redistribue les routes entre différentes zones

-Assure la cohérence du routage global

-Gère les chemins inter-zone